Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Jenkins, популярная программная система с открытым исходным кодом, уведомила всех о критической уязвимости в веб-сервере Jetty, которая может привести к повреждению памяти и раскрытию конфиденциальной информации.

Отслеживаемая под идентификатором CVE-2019-17638 брешь получила 9,4 балла из 10 по шкале CVSS. Она затрагивает Eclipse Jetty версий 9.4.27.v20200227-9.4.29.v20200521.

«Существующая уязвимость позволяет не прошедшим аутентификацию злоумышленникам получить заголовки HTTP. Таким образом, в руки атакующих может попасть конфиденциальная информация, отправленная другому пользователю», — объясняют разработчики в официальном заявлении.

Проблема безопасности, затрагивающая Jetty и Jenkins Core, судя по всему, появилась с выходом Jetty 9.4.27. Именно в этой версии разработчики добавили механизм для обработки больших HTTP-заголовков, чтобы пресечь переполнение буфера.

Однако вместо переполнения буфера авторы софта столкнулись с другой распространённой проблемой — повреждение памяти и раскрытие информации. После анализа уязвимости разработчики выпустили Jetty 9.4.30.v20200611, в которой данная брешь уже отсутствует.